Patch für gefährdeten Updater längst verfügbar?

Skypes zu aufwändige DLL-Lücke: Laut Entwicklern längst gepatcht [Update]

Der Skype-Updater hat eine schwere Sicherheitslücke. Microsoft kann aber „wegen zu viel Aufwand“ vorerst kein Bugfix liefern. Update: Der Patch sei längst da.

Skype funktioniert nicht

© WEKA Media Publishing GmbH

Skype hat seit Montagmorgen (21.09.2015) Probleme.

Ellen Kilbourne ist Leiterin des Skype Insider Program und hat im Support-Forum bekannt gegeben, dass es tatsächlich eine DLL-Sicherheitslücke im Installer des Messenger gegeben hat. Diese betraf Version 7.40 und vorherige Updates von Skype. In Version 8, die seit Oktober 2017 im Umlauf ist, sei das Problem behoben worden. Das ist verwirrend, da der Finder der Sicherheitslücke noch von einem ungenannten Microsoft-Sprecher selbst gehört haben will, dass Skype die Lücke habe (siehe Originalmeldung) und Microsoft sie erst mit einem großen Versions-Update beheben könne. Unklar ist jedoch, zu welchem Zeitpunkt der Sprecher diese Einschätzung gab. Erstmals gemeldet wurde die DLL-Lücke im Installer im September 2017, einen Monat später kam das Skype-8-Update. Publik gemacht wurde die Lücke am 9. Februar 2018. Wir gehen dem nach und halten Sie auf dem Laufenden.

Originalmeldung vom 14.02.2018:

Cyberkriminelle können Schadcode in den Updater von Skype einschleusen und erhalten so die Möglichkeit, einen PC vollständig aus der Ferne übernehmen zu können. Der Sicherheitsforscher Stefan Kanthak entdeckte dieses Leck und meldete es im September an Microsoft. Mittlerweile sind mehr als die üblichen drei Monate vergangen, die ein Unternehmen Zeit für ein Bugfix bekommt, bevor Informationen zu einem Sicherheitsleck publik gehen.

Skype nutzt ein eigenes Programm, um den Messenger-Client auf dem aktuellen Stand zu halten. Per „DLL-Hijacking“ (Dynamic Link Library) – also dem Übernehmen von Programmbibliotheken – können Cyberkriminelle das Update-Tool nun austricksen. Anstatt die richtigen Bibliotheken von Microsoft für das Update zu laden, erhält der unwissende Nutzer Schadcode.

Mit diesem kann der Angreifer Systemrechte erlangen. Systemrechte sind Administratorrechten übergeordnet – Kanthak beschreibt den Benutzerlevel „System“ gegenüber zdnet.com mit den Worten „Administrator auf Steroiden“. Mit Systemrechten haben Nutzer einen tieferen Zugang ins Betriebssystem und können entsprechend noch mehr Schaden anrichten.

Laut Kanthak ließe sich das Skype-Sicherheitsproblem sehr einfach ausnutzen. Er demonstrierte es mit Hilfe von zwei Kommandobefehlen, die ein Skript oder eine Malware zum Download einer entsprechenden, bösartigen DLL-Datei bewegten. Windows biete hier eine sehr große Oberfläche. Doch DLL-Hijacking sei nicht nur auf Windows beschränkt. Mac OS und Linux sind dafür ebenso anfällig.

Wie reagiert Microsoft?

Laut Microsoft sind die eigenen Entwickler in der Lage, derartige Angriffe zu reproduzieren. Allerdings ist die Wahrscheinlichkeit für einen Sicherheitspatch für aktuelle Versionen gering. Microsoft sagte Kanthak, dass eine Behebung des Sicherheitslecks einer „riesigen Überarbeitung des Codes“ bedürfe. Eher würden nötige Bugfixes in einer neuen Version von Skype zu finden sein. Immerhin verspricht Microsoft gerade, mit „allen Ressourcen“ an einem solchen Update zu arbeiten. Wann es erscheint, bleibt abzuwarten.

Was tun?

Wer an einem Rechner ohne Admin-Rechte sitzt, könnte sich sicher wähnen. Das ist aber nicht der Fall, wenn später ein Administrator zwecks genereller Updates auch eine Skype-Aktualisierung zulässt, die zuvor manipuliert wurde. Der einzig sichere Weg - ohne auf Skype verzichten zu müssen – wäre, Updates manuell von der offiziellen Webseite zu laden, Skype dort gleich online oder den Skype-Download auf pc-magazin.de zu nutzen. Wir halten die Version nach Möglichkeit immer auf dem aktuellen Stand.

Tipp: In unserem Gutschein-Portal finden Sie aktuelle Skype-Gutscheine und -Gutscheincodes.

Videoanleitung: Skype-Freiminuten von Office 365 aktivieren

Quelle: PC Magazin
Als Nutzer von Microsoft Office 365 erhalten Sie monatlich 60 Minuten Gesprächsguthaben fürs Festnetz. Im Video zeigen wir, wie Sie das Kontingent aktivieren.

Mehr zum Thema

Skype
Spam-Gefahr

Viele Skype-Nutzer werden derzeit von Spam-Nachrichten heimgesucht. Das rät Microsoft, um den Account zu sichern.
Ransomware Locky
Security Intelligence Report

Laut der Microsoft-Sicherheitsanalyse sind Angriffe auf Accounts wie das Microsoft-Konto um 300 Prozent gestiegen. So schützen Sie sich vor Hackern.
Update
Sicherheit

Google fand eine Sicherheitslücke in der Windows Malware Protection Engine. Die kam mit einem älteren Microsoft-Patch, der ein anderes Leck schließen…
Trojaner Computer Virus (Symbolbild)
Betrugsmasche

Es gibt immer mehr Kriminelle, die sich am Telefon als Microsoft-Support ausgeben und Nutzer bestehlen. Betrachten Sie Microsofts aktuelle Zahlen als…
Update
Datenschutz Upgrade in Version 1803

Microsoft bringt die kumulativen Updates KB4134660/KB4134661 für Windows 10 Version 1703 / 1709. Hauptsächlich kommt damit Werbung für das April…